Рутокен ЭЦП 2.0 3000, COVID-19, УЦ Росреестра и операции с Росреестом онлайн ver. 2.0 / Хабр

Рутокен ЭЦП 2.0 3000, COVID-19, УЦ Росреестра и операции с Росреестом онлайн ver. 2.0 / Хабр Электронная цифровая подпись
На чтение 21 мин. Просмотров 107 Опубликовано
Содержание
  1. Основные преимущества фкн
  2. Covid-19 и росреестр
  3. Зачем нужна эцп?
  4. Изменения в законодательстве
  5. Как установить криптопровайдер для работы с эцп?
  6. Как установить электронную подпись для работы с госуслугами?
  7. Картинки
  8. Назначение
  9. Обновление росреестра по части проведения электронных сделок
  10. Проблемы при установке плагина
  11. Резюме
  12. Совместимость программного модуля
  13. Установка личного сертификата электронной подписи с носителя – моя подпись
  14. Установка модуля на базе google chrome
  15. Установка модуля на базе internet explorer
  16. Факты
  17. Функциональный ключевой носитель

Основные преимущества фкн

  • Исключена возможность подмены подписи в протоколе обмена, электронная подпись вырабатывается по частям: сначала в ключевом носителе, потом окончательно в программной части CSP.
  • Генерация ключей электронной подписи и ключей согласования, а также создание электронной подписи внутри ФКН.
  • Передача хэш-значения по защищенному каналу, исключающему возможность подмены.
  • После создания контейнера ключ пользователя не хранится ни в ключевом контейнере, ни в памяти криптопровайдера, а также не используются в явном виде в криптографических преобразованиях.
  • Усиленная защита данных при передаче по открытому каналу благодаря использованию взаимной аутентификации ключевого носителя и программной составляющей при помощи оригинального протокола на основе процедуры EKE (electronic key exchange). При этом передается не PIN-код, а точка на эллиптической кривой.
  • Повышенная конфиденциальность закрытых ключей.
  • Ключ может быть сгенерирован ФКН или загружаться извне.
  • Выполнение криптографических операций на эллиптических кривых непосредственно ключевым носителем, поддержка российской электронной подписи.

Covid-19 и росреестр

Пандемия нехорошим образом сказалась на возможности работы с РосРеестром. Не знаю как других регионах, но в Питере случилась прямо какая-то вакханалия. С одной стороны, МФЦ полностью перешли на работу по предварительной записи (сейчас вышли, но по услугам РосРеестра продолжают оставаться).

С другой стороны, записаться на это стало возможным только в первые минуты начала дня после 9:00 и где-то на 2-3 недели вперед. СМИ сообщали, что риелторы бронировали всё под себя, а потом продавали свою очередь — но так как запись была именная, то помимо покупки очереди приходилось ещё и оформлять доверку на такого дельца, потому что кроме него никто пойти по очереди не мог.

Читайте также:  РТС-тендер ЭТП - универсальная электронная торговая площадка, что нужно знать, как зарегистрироваться и войти в личный кабинет, обзор тарифов и функционала, вебинары, телефон техподдержки

Альтернативой этому стали нотариусы, которые могут в электронном виде отправлять документы на регистрацию сделки в Росреестр, но они берут очень дорого за нотариальное удостоверение сделки. Другая альтернатива — ДомКлик от Сбербанка: если покупатель покупает в ипотеку, то ДомКлик позволяет зарегистрировать всё электронно (даже с небольшой выгодой по процентной ставке).

Покупатель нашелся по ипотеке, и дружно решили оформляться через ДомКлик. Но не тут-то было. Недвижимость оказалась старой, и регистрация прав была осуществлена в 1995 году. Если вы регистрировали свои права до 31.01.1998, то нужно:

Однако ДомКлик такие заявления подавать не умеет. Нотариусы тоже за это не берутся по неизвестным мне причинам, которые я не выяснял. Сделка оказалась под угрозой, так как МФЦ предложил запись аж на 23 сентября.

И тут выхожу я весь в белом и говорю: «А давайте сделаем это в электронном виде сами?»

Зачем нужна эцп?

Электронная цифровая подпись представляет собой аналог обычной подписи, зашифрованной в электронном виде. Она изготавливается для одного человека, идентификация которого происходит с помощью специального ключа преобразования информации. ЭЦП подписываются документы, созданные в электронном виде.

Сегодня электронной подписью пользуются как юридические, так и физические лица. Порядок ее использование регулируется ФЗ №63 «Об электронной подписи».

С помощью ЭЦП решаются следующие задачи:

  • контроль целостности передаваемого электронного документа;
  • защита от подделки;
  • контроль авторства документа и невозможность отказа от него;
  • подтверждение авторства документа.

Цифровая подпись используется во многих сферах жизни, перечень которых постоянно расширяется:

  • банковское дело;
  • электронная торговля;
  • регистрация сделок с недвижимостью;
  • оформление таможенных деклараций;
  • взаимодействие между юридическими лицами, гражданами и органами власти;
  • подача обязательной отчетности в органы ФНС, органы статистики, внебюджетные фонды;
  • организация электронного документооборота внутри предприятия;
  • сделки с криптовалютой;
  • участие в торгах на электронных биржах, в том числе на бирже Forex;
  • передача информации и документации филиалам по электронным каналам связи.

Для хранения электронной подписи используются следующие приспособления:

  • смарт-карты;
  • USB-флешки (брелоки);
  • устройства контактной памяти (таблетки Touch-Memory);
  • токены;
  • электронные реестры, встроенные в защищенную память компьютера.

Самой защищенной и многофункциональной является усиленная квалифицированная электронная подпись (КЭП). Используя именно ее, юридическое лицо может получать весь комплекс услуг на портале Госуслуги. Заказать такую подпись можно в специальных управляющих центрах, расположенных на территории региона. Ее стоимость варьируется от 3000 до 20000 рублей. Срок действия любого электронного ключа составляет 1 год.

Изменения в законодательстве


Начать, пожалуй, стоит с того, что в прошлом году отменили обязательное нотариальное удостоверение сделки, если имеется общая долевая собственность

и

все владельцы долей участвуют в сделке. Безусловно — это позитив, ибо нотариусы совсем охренели — этих ребят стоит держаться подальше при возможности.

После череды скандалов(раз, два, три), прокатившихся в 2022 году, связанных с регистрацией прав на недвижимость и создания ЮЛ с использованием электронной подписи, были приняты некоторые изменения в законе. Вкратце: теперь по дефолту использовать ЭП для сделок по недвижимости можно только в том случае, если сертификат ЭП выдан удостоверяющим центром Росреестра, а точнее его дочки — ФГБУ «Кадастровая палата».

Вы можете этот дефолт отменить, явно указав, что хотите это делать с сертификатом любого УЦ. Однако, для этого вам необходимо подать заявление в Росреестр через МФЦ, а для этого предварительно записаться на 2-3 недели вперед (смотри выше) — то есть никакого выигрыша по времени.

Что ж? УЦ Росреестра оказывается единственной альтернативой. Начинаем изучать. УЦ располагается по ссылке. Нажимаем «Сколько стоит?». 2200 рублей с записью на токен. 700 рублей — Предоставляется в электронном виде личность удостоверяется в офисе. Опаньки!

В электронном виде, это означает, что работают по схеме с запросом на сертификат. То есть можно самым правильным способом сгенерировать пару у себя на рабочем месте, отправить им запрос, а в офисе только пройти процедуру удостоверения личности — то чем и должен заниматься УЦ.

Регистрируемся, заводим все данные в профиль. Жмем «Отправить запрос». Сайт делает автоматическую диагностику установленного ПО: всё удовлетворяет необходимым требованиям, т.к. используются только общепринятые плагины к браузеру, а не так как у Тензора.

Генерируем пару в режиме ФКН на нашем новом Рутокен ЭЦП 2.0 3000. Ждем. Через несколько минут приходят на электронную почту письма о дальнейших действия. Сказано, ждать документа на оплату. Где-то через полчаса приходит квитанция на оплату с QR-кодом.

Платеж в бюджет, поэтому используется УИН. Оплачиваем 700 рублей через онлайн-банк. Ещё через 20 минут, заявка переходит в состояние оплачено. Связка Банк<->ГИС ГМП<->Росреестр работает быстрее чем платежи по реквизитам счета, но конкретная скорость может зависеть от выбранного банка.

Звоним по указанному в письме телефону для записи на время для удостоверения личности — номерки есть даже на сегодня. Бегом в офис кадастровой палаты. И вот результат — в 14:00 этим вопросом озадачились. В 16:00 прошли процедуру удостоверения личности и пока ехали домой, выпустились сертификаты.

Как установить криптопровайдер для работы с эцп?

Рассмотрим порядок установки криптопровайдера:

  1. Скачанный дистрибутив с сайта разработчика или другого сайта в интернете необходимо запустить.
  2. Нажать кнопку «Далее» в появившемся окне (в случае если отсутствует необходимость в установке специфических настроек).
  3. Откроется окно с приветствием от программы. Следует нажать кнопку «Далее».
  4. На экране появиться лицензионное соглашение, которое нужно прочесть и подписать (поставив галочку напротив фразы «Я принимаю…»), а в процессе работы с дистрибутивом не нарушать его требования.
  5. Заполнить личные данные, указав свое ФИО, наименование предприятия и серийный номер лицензионного соглашения. В удостоверяющем центре можно приобрести ЭЦП вместе с ПЗ. Номер лицензионного соглашения в этом случае будет уже вшит и набирать его нет необходимости. Если же номера нет, заполнение этой строки можно пропустить.
  6. Выбрать вид установки – обычная или выборочная.
  7. Далее нажать кнопку «Установить». Процесс инсталляции будет запущен.
  8. По его завершении список программ на устройстве пополнится программой КриптоПро.

Как установить электронную подпись для работы с госуслугами?

Программный модуль сервиса Госуслуги будет работать при условии, если есть такие версии самых популярных браузеров:

  • Internet Explorer выше 8,0 или 8,0;
  • Mozilla Firefox выше 59.0 или 59.0;
  • Google Chrome выше 29.0 или 29.0.

Плагин совместим с веб-браузером Сафари, Спутник и Яндекс браузер.

Рассмотрим порядок установки плагина на основе самых популярных браузеров.

Картинки


Если вы используете КриптоПро 5-й версии, то поддержка идет из коробки. Отличия для пользователя минимальны. Создание ключевого контейнера:

В отличие от тупого носителя у вас теперь есть выбор в каком режиме вырабатывать ключевую пару. Верхний — новый режим ФКН, внизу старый режим Рутокен ЭЦП 2.0 с поддержкой PKCS#11, посередине — режим тупого токена, в котором всю работу делает криптопровайдер.

При создании первого контейнера в режиме ФКН КриптоПро попросит задать PUK-код и пароль:

В результате получим ключевую пару, которую можно посмотреть через Панель управления Рутокен:

Назначение

СКЗИ КриптоПро Рутокен CSP предназначено для использования в российских системах PKI, в системах юридически значимого электронного документооборота и в других информационных системах, использующих технологии цифровой подписи. В том числе:

  • в системах клиент-банк при подписи платежных поручений;
  • в системах защищенного документооборота;
  • в системах сбора отчетности для предоставления в электронном виде;
  • в органах власти и управления на федеральном и региональном уровнях;
  • во всех других случаях, где необходимо обеспечить повышенную защиту ключей пользователя.

Обновление росреестра по части проведения электронных сделок

мы рассматривали оформление сделок с помощью

(не доступен в момент написания). Вначале я решил пойти по проторенной тропе, но очень быстро упёрся в то, что введенный кадастровый номер помещения не валидируется, хотя введен абсолютно правильно. Анализ HTML-кода показал, что в валидатор вставлен костыль, который отвергает большинство кадастровых номеров по первой группе цифр, которая обозначает регион.

Однако я быстро вспомнил, что аналогичный функционал, но с другим интерфейсом был представлен в личном кабинете гражданина в Росреестре (авторизация через ЕСИА), который мне не удалось протестить в прошлой статье. Сходил туда и беглый осмотр показал, что для Питера никаких ограничений нет. Значит будем делать так.


Переходим на вкладку «Услуги и сервисы» и выбираем нужную услугу:

Далее нас ждет несколько шагов по заполнению заявления (в зависимости от выбранной услуги):

На первом шаге необходимо просто согласиться и поставить галочку.

Далее, к сожалению, скриншоты не публикую, так как в них содержится много персональных данных.

На втором шаге необходимо проверить и заполнить данные заявителя. Данные подтягиваются из ЕСИА, но если у вас профиль заполнен не полностью, то что-то придется дописать. Также Росреестр плохо подтягивает из ЕСИА адреса проживания и регистрации — скорее всего вам придется указать их вручную.

На третьем шаге указываются (в данном случае) данные о собственности (реквизиты помещения, доли и т.д.).

Четвертый шаг самый сложный. Тут необходимо загрузить все документы. Начиная со сканов паспорта, которые каждый заявитель заверяет своей электронной подписью, заканчивая договорами и прочими документами, которые должны заверяться электронными подписями тех, кто их подписывает.

Например, договор, должен быть подписан всеми сторонами сделки. Кроме того, может понадобиться документ, который у вас есть только в бумажном виде или от стороны, которая в сделке не участвует — например, согласие супруга. Тут можно прибегнуть к нотариусу — нотариусы умеют сканить документы и своей электронной подписью подписывать сканы и факт того, что получившийся электронный документ полностью тождественен документу на бумажном носителе.

Для подписи одного документа несколькими электронными подписями так, чтобы все подписи попали в один файл (Росреестр не поддерживает возможность указать несколько файлов с подписями, которые относятся к одному документу), в каментах к прошлому посту рекомендовали использовать бесплатную утилиту Криптолайн фирмы Такском. Действительно, утилита — огонь, хоть интерфейс и чудаковат.

На последнем (пятом) шаге, вам предстоит повторно проверить состав поданного заявления, подписать его и отправить. Перед отправкой вас спросят о желании составить второе заявление в этом же пакете документов. Если вы регистрируете сделку (переход прав), а не просто регистрацию прав, то это необходимо сделать.

Проблемы при установке плагина

При установке программного модуля пользователь может столкнуться с рядом проблем, некоторые из которых можно устранить самостоятельно.

При возникновении любой проблемы сначала стоит проверить, возникает ли она при работе на другом устройстве или при использовании браузера Internet Explorer. Если нет, тогда следует проверить операционную систему своего компьютера и версию браузера, установленного на нем. Плагин Госуслуги работает только с современными версиями операционных систем и требует постоянного обновления браузеров.

Если после всех проверок не удается установить модуль, нужно предпринять следующие шаги:

  • Удалить предыдущие версии плагина и установить самую новую. Для этого нужно закрыть все браузеры. Через систему требуется найти программу и удалить ее. Так на компьютере не останутся части программы, которые впоследствии будут влиять на корректность работы с сервисом.
  • Установить последнюю версию плагина. Для этого необходимо авторизоваться на портале с помощью электронной подписи. Так как нужный модуль на компьютере был удален, сервис вышлет инструкцию по его установке. После выполнения всех рекомендаций плагин будет готов к работе.

Если плагин удалось установить, но пользователь не видит его через веб-обозреватель, нужно совершить следующие действия:

  • Очистить кэш и куки файлы;
  • Перезапустить браузер;
  • Сделать переустановку модуля;
  • Пройти процедуру авторизации на сайте с использованием КЭП.

Важно! Если программу установить не удалось, следует направить письмо специалисту службы поддержки. К письму следует добавить скриншоты своих действий, а также скриншоты версии используемого браузера, вкладки «Свойства» и раздела с настройками.

В случае отсутствия возможности зайти на портал, используя электронную подпись, необходимо:

  • Очистить кэш, куки и перезапустить браузер.
  • Переустановить программный модуль.
  • Авторизоваться на портале.
  • Провести тестирование ЭЦП.

Иногда при невозможности входа на портал с помощью ЭЦП помогает отключение антивируса.

Электронная цифровая подпись — это необходимое условие для работы с электронными документами. Чтобы ее установить и начать работу, необходимо иметь определенные знания в области компьютерных технологий и программирования. Если ее установка представляет сложность для владельца, а в штате компании отсутствует программист, можно обратиться за помощью в компьютерные центры.

Резюме

Рутокен ЭЦП 2.0 3000 стал для меня долгожданной заменой для ранее использованного функционального ключевого носителя из АПК КриптоПро Рутокен CSP 3.6, который умел только старые ГОСТы. Тем не менее, я очень расстраиваюсь, что для работы с этим всем добром приходится держать виртуалку с виндой.

Совместимость программного модуля

Работать на портале Госуслуги с электронной подписью нужно с помощью плагина, который бесплатно предоставляет сервис. После того как плагин будет установлен, все документы и заявления на оказание услуг можно будет подписывать дистанционно.

Программный модуль Госуслуг имеет свои особенности установки и совместим не со всеми криптопровайдерами и токенами.

Если на компьютере пользователя установлен Windows, то плагин Госуслуг будет совместим:

  • С криптопровайдерами КриптоПро CSP, ViPNet CSP, Signal-COM CSP, ЛИССИ-CSP.
  • Токенами Рутокен ЭЦП, Рутокен ЭЦП 2.0, JaCarta ГОСТ, JaCarta-2 ГОСТ, eToken ГОСТ.

Важно! Токен – это электронный носитель, на который в удостоверяющем центре записывают сертификат ЭЦП. Токен не обязательно использовать для работы с криптопровайдером. ЭЦП может быть записана на обычную флешку. Но если используется токен, то он должен быть совместим с криптопровайдером. В противном случае модуль не будет работать.

Если на компьютере установлены операционные системы Linux или MacOS, для корректной работы плагины нужны только такие токены: Рутокен ЭЦП, Рутокен ЭЦП 2.0, JaCarta ГОСТ, JaCarta-2 ГОСТ, eToken ГОСТ.

Установка личного сертификата электронной подписи с носителя – моя подпись

Ручная установка личного сертификата электронной подписи с носителя Рутокен, Etoken, JaСarta, Реестра, USB-флешки.

В большинстве случаев с ключевых носителей Рутокен, Ja Сarta сертификаты устанавливаются автоматически в течение минуты после подключения к компьютеру, если установлены драйверы.

Если вы устанавливаете сертификат с РЕСТРА или обычной USB-флешки, то пункты 1,2 вам не нужны, переходите сразу к пункту 3.

1. Проверка наличия установленных драйверов на ключевой носитель:

1.1 Присоедините ключевой носитель JaCartaRutoken к USB-порту Вашего компьютера

1.2 Подождите минуту

1.3 Выберите пункт меню Пуск -> Настройка -> Панель управления либо найдите Панель управления через Поиск, откройте Крипто Про CSP.

1.4 В появившемся окне Крипто Про CSP перейдите на вкладку Сервис

1.5 Нажмите на кнопку Просмотр/просмотреть сертификаты в контейнере

1.6 В появившемся окне нажмите кнопку Обзор

1.7 Если в окне выбора есть надпись JaCartaRutoken, как показано на рисунке ниже, значит, драйверы на JaCartaRutoken уже установлены и пункты 2 и 3 выполнять не нужно. Обратите внимание, что на Вашем компьютере может быть установлено большое число контейнеров и для того, чтобы найти надпись JaCartaRutoken, необходимо прокрутить окно с помощью колесика мыши до конца вниз

Если искомой надписи в окне нет, пункт 2 обязателен к исполнению.

2.Установка драйверов на ключевые носители

!!! Отсоедините все ключевые контейнеры ОТ USB-портов компьютера.

если у вас носитель JaCarta (носитель черного цвета):

2.1 Запустите соответствующую программу установки драйверов в зависимости от версии Windows, установленной на компьютере:

Ссылка – JaCartax86zip Единый Клиент JaCarta для windows 32x 
Ссылка – JaCartax64zip Единый Клиент JaCarta для windows 64x

и следуйте ее указаниям. После установки драйверов может потребоваться перезагрузка компьютера.

2.2 После перезагрузки подсоедините ключевой носитель к USB-порту.

2.3 После подключения на ключевом носителе загорается светодиод, это говорит о том, что JaCarta корректно распознан операционной системой и готов к работе.

если у вас носитель Rutoken (прозрачный или белого/красного цвета):

2.4 Единый файл драйверов для носителей Rutoken rtDrivers.exe работает в любой версии Windows от XP до 10, на 32 и 64 битных версиях.

2.5 После окончания установки перезагрузите компьютер и подключите Рутокен к USB-порту компьютера. Если на нём загорелся красный светодиод — значит установка произведена корректно.

3. Добавление считывателя

!!! Добавление ruToken, JaCarta происходит при подключенном носителе.

3.1 Выберите пункт меню «Пуск» -> «Настройка» -> «Панель Управления» -> «Крипто Про CSP»

3.2 В появившемся окне перейдите на вкладку «Оборудование»

3.3 Нажмите кнопку «Настроить считыватели» и проверьте наличие в списке считывателей пункта «Все считыватели смарт-карт» (см. рисунок на следующей странице)

3.4 Если пункт отсутствует, требуется установка считывателя, для этого нажмите кнопку «Добавить» и следуйте инструкциям мастера по установке считывателей.

!!! Обратите внимание, что добавление считывателей возможно только в случае, если у пользователя есть права администратора и программа Крипто Про запущена от имени администратора. Если кнопка «Добавить» неактивна, как в случае на рисунке, обратитесь к своему системному администратору.

4. Установка личного сертификата

!!! При установке личного сертификата к компьютеру должен быть подключен только тот ключевой носитель, с которого производится установка. Остальные носители должны быть отключены

4.1 Выберите пункт меню «Пуск» -> «Панель Управления» либо найдите Панель управления через Поиск, выберете «Крипто Про CSP»

4.2 В появившемся окне перейдите на вкладку «Сервис»

4.3 Нажмите на кнопку «Просмотреть сертификаты в контейнере…»

4.4 В поле «Имя ключевого контейнера» нажмите «Обзор»

4.5 В списке доступных контейнеров выберите нужный вам контейнер, он может быть записан на «Aktiv Co. ruToken 0», ARDS Ja Carta или USB-Флешку (определяется как Диск E/D и т.п.) и подтвердите выбор нажатием кнопки «ОК»

4.6 В поле «Имя ключевого контейнера» появится нужный вам контейнер нажать «Далее»

4.7 В ответ на запрос КриптоПро CSP ввода pin-кода на контейнер необходимо указать значение 12345678 (это стандартный pin-код на ключевой носитель ruToken, JaCarta). Если вы меняли пин-код, то введите именно его.

4.8 В открывшемся окне «Сертификат для просмотра» нажать кнопку «Свойства»

4.9 Нажать кнопку «Установить сертификат»

4.10 В появившемся мастере импорта сертификатов нажмите «Далее», укажите пункт «Поместить все сертификаты в следующее хранилище», нажмите кнопку «Обзор»

4.11 В появившемся списке хранилищ выберите «Личные» подтвердите выбор нажатием кнопки «ОК» нажмите «Далее» -> «Готово» -> «ОК» -> «ОК» -> «Готово».

Краткая инструкция по установке сертификата:

 В меню «Пуск» -> «Настройка» -> «Панель Управления» -> «Крипто Про CSP» -> на вкладке «Сервис» нажать на кнопку «Просмотреть сертификаты в контейнере…»

-> в поле «Имя ключевого контейнера» нажать «Обзор»

-> в списке доступных контейнеров выбрать нужный Вам (по названию либо по наименованию носителя)

-> подтвердить выбор нажатием кнопки «ОК» -> в поле «Имя ключевого контейнера» появиться нужный Вам контейнер (ЭП)

-> нажать «Далее» -> на просьбу Крипто Про CSP ввести pin-код на контейнер необходимо указать значение вашего PIN (может и не потребоваться)

-> в окне «Сертификат для просмотра» нажать кнопку «Установить сертификат»

Установка модуля на базе google chrome

Необходимо выполнить следующие действия:

  1. Провести обновления браузера.
  2. Установить последнюю версию программы, скачав ее с портала Госуслуги.
  3. Дать разрешение на установку плагина при первом запуске браузера.
  4. Если установка не произошла автоматически, выполнить процедуру вручную включив вкладку «Дополнительные инструменты» и «Расширения».
  5. Установите галочку напротив надписи «Включено» в окне «Расширения для плагина Госуслуг».

Установка модуля на базе internet explorer

Internet Explorer – браузер, предусмотренный операционной системой Windows. Рассмотрим алгоритм установки плагина сервиса Госуслуги для компьютера, использующего такой браузер:

Факты

Новый токен под старым брендом. Вроде какая-то добавка 3000 в конце и вообще не понятно о чем это. А между тем перед нами принципиально новый носитель ключевой информации. С классическим Рутокен ЭЦП 2.0 его объединяет пожалуй лишь то, что он может быть с ним совместим, и по прежнему на нём можно хранить неизвлекамые закрытые ключи, криптографические операции с которыми происходят прямо в контроллере девайса, а закрытые ключи никогда не покидают его пределов.

А в чем же разница? Пожалуй, отличия четыре:

  1. Это функциональный ключевой носитель (ФКН), работающий по протоколу (на самом деле метапротоколу) SESPAKE, что дает нам защиту канала между драйвером и контроллером от прослушивания
  2. Многократное ускорение при работе с токеном, на котором есть несколько ключей с сертификатами
  3. Невозможность работы в режиме ФКН через PKCS#11
  4. Отсутствие режима работы без КриптоПро

Давайте теперь по порядку.

ФКН с SESPAKE дает возможность защитить канал обмена между драйвером/криптопровайдером и контроллером хранилища. Раньше подобный перехват был возможен, и любой любитель Wireshark с установленным USBcap мог лицезреть открытые PIN-коды при работе с классическим Рутокен ЭЦП 2.

0, которые транслируются в APDU командах контролера, что потенциально даёт вектор атаки по подслушиванию PIN’а и дальнейшему подписыванию всего и вся без взаимодействия с пользователем. И хотя формально закрытые ключи всё равно остаются неизвлекаемыми, это может перестать быть принципиальным моментом.

Ускорение. Уж не знаю как и почему, но если у вас было несколько сертификатов на одном токене Рутокен ЭЦП 2.0, то тормоза были обеспечены. Особенно при попытке софта перебрать все сертификаты или найти контейнер с нужным. Ваш покорный слуга хватал лично ситуации, когда в некоторых системах ЭДО дешифрация маленького документа занимала более минуты.

Всё кончилось тем, что Тензор в своих плагинах даже запретил использование аппаратных токенов совместно с КриптоПро 5-й версии, чем вызвал много подозрений. Теперь всё не так, я даже не замечаю разницы между тем, когда на токене был один сертификат, и теперь, когда их четыре (Тензор при этом всё равно не работает с аппаратными ключами в версиях плагинов где-то с осени 2022 года).

Режим PKCS#11 — это возможность использовать библиотеку производителя, которая реализует стандартное API PKCS#11 по работе с ним (напрямую без КриптоПровайдера). Под Windows применяется мало, т.к. Windows Crypto API является доминирующим способом. Под Linux похоже увы, если не брать гипотетическую возможность установить КриптоПро под Linux и использовать его.

КриптоПро под Linux представляет собой по сути реализацию Windows Crypto API, то есть ни одна традиционная софтина под Linux это не поддерживала и не будет поддерживать. Скорее это возможность для разработчиков пилить госзаказ и разрабатывать соответствующие серверные продукты под Linux с возможность криптографии ГОСТ.

О применении в Linux Desktop речи не идет. Тем не менее Рутокен поставляет свою библиотеку PKCS#11 для старого Рутокен ЭЦП 2.0 и мне даже удавалось как-то подружить её с плагином ГосУслуг для аутентификации по электронной подписи. С ФКН возможности такой, как я понимаю нет, но возможно компания Актив меня поправит.

Отсутствие режима работы без КриптоПро. Скорее всего это связано с предыдущим пунктом. Но на практике сложилась некоторая путаница при использовании Рутокен ЭЦП 2.0. Почему-то мало кто знает, что Рутокен ЭЦП 2.0 умеет прекрасно работать с КриптоПро 5-й версии.

Возможно, из-за того, что он появился задолго до КриптоПро 5. В результате, различные участники рынка наработали кастомные решения, которые позволяют работать с Рутокен ЭЦП 2.0 без КриптоПро. Это приводило к достаточно серьезным трудностям в диагностике проблем на сайтах.

Функциональный ключевой носитель

Архитектура ФКН реализует принципиально новый подход к обеспечению безопасного использования ключевой информации, которая хранится на аппаратном носителе.

Кроме формирования электронной подписи и генерации ключей шифрования непосредственно в микропроцессоре, ключевой носитель позволяет эффективно противостоять атакам, связанным с подменой хэш-значения или подписи в канале связи.

Похожие записи:

Нет похожих.

Оцените статью
ЭЦП Эксперт
© 2025 ЭЦП Эксперт